Meu RH

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 35

changes.mady.by.user Marcelo De Oliveira Vieira

Gravado em

comparado com

Nova versão 36

changes.mady.by.user Wesley Willian Cecilio Goulart

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

AtributoValores possíveisDescriçãoReferência
X-Content-Type-Optionsnosniff
Para evitar o sniffing do tipo MIME, você pode adicionar o cabeçalho X-Content-Type-Options. 
Isso torna mais difícil para os hackers adivinharem o tipo certo de mime, inspecionando o conteúdo.
X-Content-Type-Options - HTTP | MDN
X-Xss-Protection
0
1
0; mode=block
1; mode=block
O X-Xss-Protection é um recurso implementado no navegador mais moderno, que interrompe o carregamento da página quando um ataque de script entre sites é detectado.

X-XSS-Protection - HTTP | MDN


X-Frame-Options
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
O cabeçalho X-Frame-Options garante que os hackers não criem iframe para o seu site, a fim de induzi-lo a clicar em links que você nunca quis.
X-Frame-Options - HTTP | MDN
Cache-Control

public

private

no-cache

no-store

max-age

A diretiva Cache-Control é usada para especificar como os caches devem se comportar ao armazenar uma resposta HTTP e como os navegadores devem tratar essa respostaCache-Control - HTTP | MDN
Strict-Transport-Security

maxage=tempoEmSegundos

includeSubDomains

preload

É um mecanismo de política que ajuda a proteger sites contra ataques man-in-the-middle, como ataques de downgrade de protocolo e sequestro de cookies.Segurança de Transporte Estrita - HTTP | MDN
Cross-Origin-Embedder-Policy

require-corp

unsafe-none

O cabeçalho de resposta HTTP Cross-Origin-Embedder-Policy é incluído pelo servidor para impedir que um documento acesse recursos entre origens que não o permitem explicitamente.Cross-Origin-Embedder-Policy - HTTP | MDN
Cross-Origin-Resource-Policy

same-origin

same-site

cross-origin

Cross-Origin Resource Policy é uma política definida pelo cabeçalho HTTP Cross-Origin-Resource-Policy que permite que sites e aplicativos optem pela proteção contra determinadas solicitações de outras origens.Política de Recursos entre Origens (CORP) - HTTP | MDN
Cross-Origin-Opener-Policy

same-origin

same-origin-allow-popups

unsafe-none

É um cabeçalho de segurança que controla como uma janela ou aba pode interagir com outras abas ou janelas em diferentes origens. Isso ajuda a proteger contra ataques de abertura de origem cruzada (Cross-Origin Window Opener Abuse), garantindo que janelas ou abas só possam ser abertas por scripts em seu próprio contexto de origem.Cross-Origin-Opener-Policy - HTTP | MDN
Permissions-Policy

camera

microphone

geolocation

fullscreen

A diretiva Permissions-Policy é um cabeçalho de segurança que permite que um site controle quais recursos e APIs estão disponíveis para uso no navegador. Isso ajuda a proteger a privacidade dos usuários, limitando o acesso a recursos sensíveis apenas a sites confiáveis.Permissions-Policy - HTTP | MDN
Referrer-Policy

no-referrer

no-referrer-when-downgrade

origin

origin-when-cross-origin

same-origin

strict-origin

strict-origin-when-cross-origin

A diretiva Referrer-Policy é um cabeçalho de segurança que controla como o cabeçalho Referer é incluído nas requisições HTTP. O cabeçalho Referer informa ao servidor de destino de onde veio o usuário, o que pode ser útil para fins de análise, mas também pode expor informações sensíveis, como URLs completas.Referrer-Policy - HTTP | MDN
Content Security Policy (CSP)

default-src

script-src

style-src (Obrigatório incluir 'unsafe-inline' e 'unsafe-eval')

img-src

font-src

frame-src

frame-ancestors 

A diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN

Utilize o security headers para avaliar a configuração dos seus cabeçalhos.

Bloco de código
titleSugestão de configuração
   <httpProtocol>
      <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff" />
        <add name="X-Xss-Protection" value="1; mode=block" />
        <add name="X-Frame-Options" value="SAMEORIGIN" />
        <add name="Cache-Control" value="no-store" />
        <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
		<add name="Cross-Origin-Embedder-Policy" value="require-corp" />
        <add name="Cross-Origin-Resource-Policy" value="same-origin" />
		<add name="Cross-Origin-Opener-Policy" value="same-origin" />
  		 <add name="Permissions-Policy" value="camera=(self), microphone=(self), geolocation=(self), fullscreen=(self)" />
	    <add name="Referrer-Policy" value="no-referrer-when-downgrade" />
		<add name="Content-Security-Policy" value="default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://www.googletagmanager.com; style-src 'self' 'unsafe-inline'" />
       </customHeaders>
    </httpProtocol>

...